Le insidie di quei giocattoli in rete comandati con la voce
Dall’Internet of Things (IoT) all’Internet of Toys: non si scherza coi dispositivi connessi in rete. Proteggere reti, computer, smart object è un obiettivo strategico dell’Unione Europea
di ARTURO DI CORINTO per La Repubblica del 17 Ottobre 2019
BRATISLAVA – La porta del garage non si apre. Le luci del cortile non si accendono. Le telecamere di sorveglianza non registrano e durante la riunione si muore di caldo. Semplici inconvenienti? Anche, ma potrebbero essere l’inizio di guai più grossi. Obbligati a lasciare l’auto nuova di zecca per strada, questa potrebbe essere rubata più facilmente. Se le luci non si accendono un aggressore potrebbe aspettarci nel buio per rapinarci o peggio; senza telecamere un furto potrebbe non essere scoperto e, obbligati ad aprire la finestra, un minidrone potrebbe entrare e spiare la riunione del consiglio d’amministrazione. Fantascienza? Proprio no. Sono tutti i rischi potenziali dell’Internet of things (Iot). Eventi che possono accadere quando gli oggetti intelligenti come luci, porte, telecamere e termostati connessi in rete via Internet nella casa domotica, automatizzata, non funzionano come dovrebbero.
Attenzione ma questo vuol dire che l’internet delle cose è pericolosa? Non in assoluto. Soltanto quando il software che quelle cose comanda non funziona oppure è stato manipolato. Così se un criminale è in grado di attaccare il dispositivo con cui controlliamo gli smart objects lo scenario è meno improbabile di quello che pensiamo. Come nel caso dell’assistente virtuale che governa tutte quelle funzioni, gli ormai onnipresenti Google Home, Amazon Echo e i loro fratelli. I ricercatori di Eset lo hanno raccontato nel corso della Global Conference dell’azienda a Bratislava, alla presenza di 57 giornalisti provenienti da 20 paesi diversi, dall’Italia al Giappone passando per l’Inghilterra. Secondo i ricercatori di Eset, quando affrontiamo il tema dell’Iot dobbiamo considerare la grande quantità di dati, anche personali, gestita da questi dispositivi e la loro vulnerabilità agli attacchi. Un problema di privacy e cybersecurity allo stesso tempo.
Qualche esempio. Dopo aver scoperto una falla di funzionamento nella telecamere di sorveglianza D-Link in grado di reindirizzare a sconosciuti le videoriprese domestiche, hanno anche individuato la vulnerabilità della prima generazione di Amazon Echo ai “Krak attack”, che esponevano il dispositivo alla manipolazione da remoto dei suoi comandi. La vulnerabilità è stata individuata a fine 2018 e, dicono dal quartiere generale di Amazon, corretta a inizio 2019. Ma ci stanno ancora lavorando. Gli aggiornamenti di sicurezza continueranno e la casa produttrice ha annunciato che a breve sarà rilasciato un aggiornamento del firmware del dispositivo stesso che dovrebbe renderlo molto più sicuro.
Il firmware è il punto d’unione tra l’hardware e il software dei dispositivi e in genere ne gestisce l’avvio e l’interazione con le interfacce e per questo va sempre aggiornato e protetto. Amazon Echo ad esempio si connette ad Alexa, un servizio vocale basato sul cloud, e può riprodurre musica, fare chiamate, impostare sveglie e timer, dare informazioni sul tempo, il traffico e, appunto, controllare dispositivi per la casa Intelligente come interruttori e termostati. Ce ne sono almeno sette milioni in giro per il pianeta. Per questo il tema della sua sicurezza rimane sul tavolo: i dispositivi sempre accesi, sempre connessi, sono vulnerabili e, più si diffondono nella case e negli uffici, più i delinquenti ne faranno bersaglio.
Ma che dobbiamo fare in attesa che l’IoT diventi più sicura? Intanto cambiare le password con cui tutti i dispositivi digitali ci vengono consegnati dopo l’acquisto, usandone una che non sia il nome del gatto di casa, poi aggiornare costantemente il loro software impostandolo sull’aggiornamento automatico e infine abilitare la crittografia per le comunicazioni tra questi dispositivi disconnettendo gli apparecchi che abbiamo deciso di non usare più.
Il tema della sicurezza degli oggetti digitali è stato affrontato anche da Ignazio Sanchez del Centro di Ricerca europeo per la sicurezza dei cittadini digitali, nel corso della stessa conferenza. Secondo il rappresentante Ue, la trasformazione digitale ha aumentato le esigenze di difesa sia per la nostra elevata dipendenza tecnologica che per gli enormi danni e profitti criminali che gli attacchi informatici producono. Questioni che rimandano a un tema più generale, lo stretto legame tra la cybersecurity e la privacy, diritto fondamentale dell’Unione “che deve essere approcciata in un’ottica multidisciplinare, legale, tecnica e sociale. Sopratutto – ha aggiunto – in un contesto in cui resilienza, deterrenza e difesa sono proprio i tre pilastri intorno a cui si va sviluppano la cyberstrategia europea”, dalla protezione dell’Internet of Things alla protezione della “Internet for Toys”, ricordando che oggi anche i giocattoli per bambini sono connessi via Internet e possono essere bersaglio dei cybercriminali.